Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Лабораторная работа №1

.docx
Скачиваний:
0
Добавлен:
03.07.2026
Размер:
246.87 Кб
Скачать

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего образования

"Костромской государственный университет"

(КГУ)

Институт «Высшая ИТ-школа»

Кафедра защиты информации

Направление 10.03.01 - Информационная безопасность,

профиль Организация и технология защиты информации

Лабораторная работа №2

Идентификация, аутентификация, авторизация. 3 вариант.

Выполнил______________ Владимиров Петр Алексеевич

гр. 22-ИБбо-6

Проверил_______________ Потафеев Семен Алексеевич

Кострома 2025

Задание на лабораторную: Разработать модель жизненного цикла учётной записи, охватывающую этапы создания, изменения прав, блокировки и удаления; дополнить анализ инцидентами, возникающими при нарушении цикла; определить контрольные точки (HR, руководитель, служба ИБ, администратор) и метрики эффективности, представив процесс в виде схемы.

Схемы жизненного цикла УЗ

  1. Создание учетной записи;

­­

Рис. 1. Схема создания УЗ в организации

Инциденты, которые теоретически могут возникнуть в данном бизнес-процессе:

  • Создание учетной записи без заявки;

  • Назначение избыточных прав;

  • Несвоевременное создание.

  1. Изменение прав учетной записи;

Рис. 2. Схема изменения прав УЗ

Инциденты, которые теоретически могут возникнуть в данном бизнес-процессе:

  • Добавление избыточных прав;

  • Удаление нужных прав.

  1. Временная блокировка/приостановка учетной записи;

Рис. 3. Схема блокировки/приостановки УЗ

Инциденты, которые теоретически могут возникнуть в данном бизнес-процессе:

  • Несвоевременная блокировка при увольнении/отпуске;

  • Ошибочная блокировка;

  • Отсутствие уведомления сотрудника;

  1. Удаление учетной записи.

Рис. 4. Схема удаления УЗ

Инциденты, которые теоретически могут возникнуть в данном бизнес-процессе:

  • Несвоевременное удаление;

  • Удаление без архивации данных;

  • Удаление активного пользователя по ошибке.

Критические точки

  • HR – фиксирует кадровые изменения;

  • Руководитель – заказывает доступы, согласовывает их;

  • Отдел ИБ – согласование доступов;

  • Администратор – техническая реализация заявок;

Метрики эффективности

  • Скорость:

- SLA на создание УЗ;

- SLA на удаление УЗ;

- Время реакции на инциденты.

  • Качество:

- Количество инцидентов, связанных с неактуальными УЗ;

- Уровень соответствия принципу минимальных привилегий;

- Доля выявленных излишних прав при аудитах.

  • Безопасность:

- Количество несанкционированных изменений прав;

- Количество нарушение SoD.

Контрольные вопросы:

1. Раскройте содержание и определите сущность трёх последовательных стадий управления доступом: идентификации, аутентификации и авторизации. Ответ:

  • Идентификация – это представление пользователя системе, заявка на свою личность (например, ввод логина, номера карты, ID). На этом этапе система знает кто хочет войти, но ещё не подтверждает, что это действительно он;

  • Аутентификация – проверка подлинности личности пользователя, доказательство, что он действительно тот, за кого себя выдаёт (например, пароль, отпечаток пальца, токен);

  • Авторизация – предоставление прав и разрешений в соответствии с ролью или атрибутами аутентифицированного пользователя (например, доступ к папкам, приложениям, данным).

2. Какие практические требования предъявляются к идентификаторам в информационных системах? Ответ:

  • Уникальность в рамках системы;

  • Невозможность дублирования или коллизий;

  • Устойчивость к угадыванию (например, не использовать простые логины типа user1);

  • Достаточная длина и разнообразие символов (для сложных ID);

  • Независимость от личных данных (например, не использовать номер паспорта напрямую);

  • Возможность централизованного администрирования и контроля.

3. Охарактеризуйте четыре классических типа факторов аутентификации. Ответ:

1) Что знает пользователь (knowledge) – пароль, PIN, ответ на секретный вопрос;

2) Что имеет пользователь (possession) – токен, смарт-карта, ключ, мобильное устройство;

3) Кем является пользователь (inherence) – биометрия: отпечатки пальцев, лицо, радужка глаза, голос;

4) Что делает пользователь / где он находится (behavior / location) – поведенческая биометрия (почерк, скорость набора текста) или геолокация.

4. В чём заключается принципиальное отличие двухфакторной (2FA) и многофакторной (MFA) аутентификации? Ответ:

2FA (двухфакторная аутентификация) – используется два разных фактора из перечисленных групп (например, пароль + SMS-код).

MFA (многофакторная аутентификация) – используется два и более факторов, при этом может быть три и больше (например, пароль + смарт-карта + отпечаток пальца).

5. Какие преимущества обеспечивают беспарольные методы аутентификации? Ответ:

  • Нет риска утечки или угадывания пароля (снижение фишинга и атак перебора);

  • Удобство для пользователя (нет необходимости запоминать сложные комбинации);

  • Повышенная безопасность при использовании биометрии, токенов или криптографических ключей;

  • Снижение затрат на поддержку (меньше обращений “забыл пароль”).

6. Какие показатели применяются для оценки эффективности биометрических систем? Ответ:

  • FAR (False Acceptance Rate) – вероятность ложного допуска (ошибочное признание чужого за своего).

  • FRR (False Rejection Rate) – вероятность ложного отказа (отклонение доступа законному пользователю).

  • EER (Equal Error Rate) – точка, где FAR = FRR, служит обобщённым показателем качества системы.

  • Время отклика системы – скорость идентификации/аутентификации.

  • Устойчивость к атакам (spoofing) – способность противостоять подделкам (например, фотография вместо лица).

7. Опишите архитектурные компоненты системы контроля доступа. Ответ:

      • Субъект – пользователь или процесс, инициирующий запрос;

      • Объект – ресурс, к которому требуется доступ (файл, база, сервис);

      • Механизм идентификации и аутентификации – подтверждает личность субъекта;

      • Политики доступа – правила, определяющие, кто и к чему имеет право;

      • Система принятия решений (PDP – Policy Decision Point) – принимает решение о допуске;

      • Система исполнения решений (PEP – Policy Enforcement Point) – реализует контроль доступа (разрешает/блокирует);

  • Логирование и аудит – фиксация действий для контроля и расследований.

8. Сравните дискреционную, мандатную, ролевую и атрибутную модели авторизации.

Модель

Принцип

Преимущества

Недостатки

Дискреционная

Доступ определяется владельцем ресурса

Гибкость, простота

Риск утечек, нет централизованного контроля

Мандатная

Доступ определяется метками безопасности и политиками, независимыми от владельца

Высокая безопасность, централизованный контроль

Неудобство для динамичной среды

Ролевая

Доступ назначается по ролям

Удобно при большом числе пользователей, централизованное управление

Требует правильного проектирования ролей, не гибка в динамических ситуациях

Атрибутная

Решение на основе набора атрибутов субъекта, объекта и контекста

Максимальная гибкость, подходит для облаков и распределенных систем

Сложность настройки, требует мощной системы правил